ANÁLISE DE FERRAMENTAS PARA DETECÇÃO DE INVASÃO
(IDS) E HONEYPOT ’S
¹Augusto Rosseto, ²Darlan Dieterich, ³Jacson Luiz Krötz
Universidade Federal de Santa Maria – Campus Frederico Westphalen
¹[email protected], ²[email protected], ³[email protected]
Resumo. Este artigo aborda um estudo sobre ferramentas para detecção de intrusão (IDS) e Honeynet’s, onde existem semelhanças entre essas ferramentas, porém com funções diferentes. Tem como objetivo analisar diferentes tipos de ferramentas IDS e Honeypot , assim como suas características, funcionalidades, entre outros aspectos. Também será possível acompanhar desde sua instalação, configuração, simulação, tela de logs, até a análise final.
1-INTRODUÇÃO
Honeypot do inglês (pote de mel) é uma ferramenta baseada em Honeyd. Onde
sua função é criar armadilhas para detecção de invasores, gerando logs de eventos
ocorridos, colhendo informações do invasor.
As ferramentas Honeypot são instaladas em um servidor vulnerável a ataques.
Assim uma vez conectados os invasores vão deixando rastros, as Honeypot s colhem
informações e logo emitem alertas ao administrador. Com isso, vulnerabilidades são
obtidas para análise e proteção dos sistemas. Ou seja, deixando os invasores entrarem
no sistema como uma espécie de isca, será possível colher técnicas, de como os intrusos
usam para invadir, assim administradores usam novos meios para evitar esse tipo de
mal, também usado como meio para distrair os invasores de suas reais informações do
sistema.
Uma forma barata e simples de detectar atividades ilícitas na sua rede. Sua
principal função é ser atacado (por pessoas, por vírus, por worms, etc), ‘escaneando’ ou
invadido para assim adquirir informações para que você consiga se proteger de forma
mais eficiente conhecendo como seus hosts podem ser atacados. O conceito é simples:
um Honeypot não tem nenhum propósito de produção (não tem nenhum serviço real,
não deve receber nenhuma conexão, ninguém deve interagir com ele), portanto qualquer
interação com um Honeypot é possivelmente uma atividade ilícita (proposital ou não).
Por esse motivo, os Honeypot s tem um baixo número de falso-positivo e geram pouco
log, facilitando a leitura e fazendo com que o administrador detecte ataques com mais
facilidade [2].
2-HONEYPOT
Os Honeypot s são ambientes capazes de detectar intrusos em uma rede e
monitorar o que estão tramando, assim como finalidade de usar essas técnicas dos
invasores para se proteger futuramente de um ataque. Honeynets é capaz de concentrar
um sub-rede de Honeypot s, ou seja vários Honeypot s agindo em conjunto.
Figura 1 - Ilustração Honeypot
Segundo Thomas, Tom [1], um Honeypot é um sistema de computação
altamente flexível na internet que é personalizado para ser uma ferramenta de segurança
e é expressamente definido para atrair “prender” pessoas que tendem penetrar nos
sistemas de computação de outras pessoa usando sondagem, scans, e invasões. Esta
audiência alvo inclui o Hacker, cracker, e o script kiddie, desconsiderando sua
localização no mundo. Honeypot s não resolvem um único problema de segurança, em
vez disso, eles são usados para desorientar, prevenir, detectar, e coletar informações por
serem altamente monitoradas e projetadas para se parecerem com algo que não são para
os atacantes caírem. Conceitualmente, isso significa que um Honeypot não deve ser
usado para produção porque seu valor está em ser sondado, atacado ou comprometido.
Aspectos chave de um Honeypot :
Honeypot s distraem os atacantes dos recursos mais valiosos da sua rede,
permitindo assim a proteção dos seus recursos ao distrair os atacantes para
dispositivos que lhes parecem reais.
Honeypot s fornecem um aviso precoce sobre novas tentativas de ataque e invasão.
Os IDS podem gerar falsos positivos, enquanto que estes que tem realmente a
intenção de provocar dano acessam apenas um Honeypot devido a sua não-
produtividade.
Honeypot s permitem um exame profundo das atividades de um atacante durante e
depois da exploração do Honeypot . Isso pode se parecer como algo que apenas
alguém envolvido em pesquisa possa fazer, mas pense no que você pode aprender.
Você pode usar esta educação para garantir que os recursos reais de segurança da
sua rede estejam configurados/atualizados corretamente.
Honeypot s possuem a habilidade única de mostrar que o seu projeto de segurança
de rede é efetivo.
Para conhecer seu inimigo é uma outra razão da existência do Honeypot . Não é
suficiente saber que os atacantes estão lá. Entretanto, o que é importante é
determinar suas técnicas e métodos. Depois que você tiver o perfil de um atacante,
poderá se defender ainda mais contra explorações futuras.
O conceito de Honeypot divide-se em duas categorias:
Honeypot s de pesquisa: Complexo para distribuir e manter o uso primário para
organização de pesquisa, militares e governamentais.
Honeypot s de produção: usado por organizações que estejam preocupadas com
a segurança das suas redes, é normalmente distribuído tendo em mente certo objetivo ou
intenção.
Tissato & Lício [3], definem que uma rede de Honeypot s com diferentes
sistemas é conhecida como Honeynet. Se os sistemas de detecção de intrusão podem ser
utilizados como fonte de aprendizado sobre novos ataques, além de sua função
principal, que é a de detecção, os Honeypot s podem ensinar muito mais. Um Honeypot
não contém dados ou aplicação muito importante para a organização e seu único
propósito é de passar-se por um legitimo equipamento da organização que é configurado
para interagir com Hacker em potencial. Assim, os detalhes da técnica utilizada e do
ataque em si podem ser capturados e estruturados. Eles são também conhecidos como
sacrificial Lamb, decoy, booby trap, lures ou fly-traps e funcionam como armadilhas
para os Hackers.
3-ANÁLISE HONEYPOT
Este capítulo aborda o funcionamento de algumas ferramentas baseadas em
Honeypot , visando sua instalação, configuração e simulação.
3.1-Valhala
http:// ValhalaHoneypot .sourceforge.net/
Código fonte aberto
Figura 2 - Valhala
3.1.1- Instalação
Para instalação, somente descompacte e execute o arquivo executável.
3.1.2- Configurações
Valhala permite vários meios de alerta, inclusive envio por e-mail, salvar logs,
tocar sons, habilitar portas extras, iniciar com o Windows, entre outros.
Figura 3 - Valhala , painel de configurações.
Possui os seguintes servidores: WEB, FTP, TELNET, FINGER, SMTP,
TFTP, DAYTIME, POP3, Port Forwarding, ECHO;
Figura 4 - Valhala , Servidores e métodos.
Fácil configuração, para habilitar portas novas.
Figura 5 - Valhala , opões do servidor WEB.
3.1.3- Simulação
Um exemplo de invasão usando o protocolo TELNET, tentando-se conectar pelo
localhost pela porta 80, onde é possível ver um log gerado mostrando o que o invasor
tentou fazer.
Figura 6 - Serviço de Telnet do Windows
Figura 7 - Detecção do Serviço de Telnet do Windows.
3.2 – KFSensor
http://www.keyfocus.net/
Licença comercial
Figura 8 - Captura de tela do programa KFSensor.
3.2.1 – Instalação
Baixe e execute o instalador e siga os passos sem complicação.
3.2.2 – Configuração
Fácil uso da ferramenta, com sons para escolha de alerta, alertas em intervalos,
registra os logs e permite aplicar filtros. Possui mecanismos de respostas baseados nas
atividades dos invasores, como desligar o sistema. KFSensor é projetado para uso em
um ambiente corporativo baseado em Windows e contém muitos recursos inovadores e
exclusivos, tais como gerenciamento remoto, um motor Snort assinatura compatível e
emulações de protocolos de rede do Windows.
Figura 9 - KFSensor, captura de tela de configuração.
Possui um guia de configuração passo a passo.
Figura 10 - KFSensor, captura de tela de configuração.
KFSensor possui várias simulações dentre as principais estão HTTP, FTP,
POP3, SMTP, SOCKS, TELNET, NETBIOS. Rastreia também tanto com protocolos de
transporte TCP como UDP.
Figura 11 - KFSensor, captura de tela de seleção de simulações.
3.2.3 – Simulação
A simulação foi baseada em um ataque via TELNET, e apresentou-se eficiente
na hora da detecção.
Figura 12 - KFSensor, captura de tela de simulação realizada.
3.3 – Honeypot by Mr.Net
http://forum.guiado Hacker .com.br/showthread.php?t=16675
Licença Livre
Figura 13 -Captura de tela da Interface do Programa, Honeypot by Mr.Net.
3.3.1 – Instalação
Para instalar é preciso descompactar o arquivo e copiar alguns para diretórios do
sistema:
Copiar e Colar o arquivo "qtintf70.dll" na pasta C:\Winows\System32\
Copiar e Colar os arquivos: "Honey" e "Honeypot " na pasta C:\Windows\
3.3.2 – Configuração
O mais simples e objetivo, configura, inicia o serviço, e exibe tela de logs. Conta
com diferentes tipos de serviços pré-definidos e também podendo modificar a porta
junto com sua descrição, também podendo salvar os logs.
Figura 14 - Captura de tela da Interface de configuração do Programa, Honeypot by Mr.Net
3.3.3 – Simulação
O teste de invasão foi feito via FTP, pela porta padrão 21. Em seguida foi
exibida uma tela de alerta com uma mensagem de alguém tentando invadir via FTP,
juntamente emitindo um som.
Figura 15 - Alerta de Invasão por FTP.
Figura 16 - Interface de detecção do Programa Honeypot - By Mr.Net
3.4 – Anti Hacker Ataque 1.2
http://forum.guiado Hacker .com.br/member.php?u=57199
Licença Livre
Figura 17- Captura de tela do Programa - Anti Hacker Ataque 1.2.
3.4.1 – Instalação
Baixe o instalador no site do desenvolvedor e instale sem complicação.
3.4.2 – Configuração
Interface amigável, intuitiva e bem objetiva. Com um simples menu podemos
ativar serviços pré-definidos, ou também definir portas extras para um determinado
serviço. Suas funções são bem simples como capturar um IP, data e hora, portas do
atacante, nome da máquina,
Protocolos pré definidos são: TELNET, FTP, HTTP, SSH, NETBus, SMB
Figura 18 - Captura de Tela da Interface de Configuração do Programa Anti Hacker Ataque 1.2.
3.4.3 - Simulação
O teste foi efetuado com invasão via FTP, quando houver uma tentativa de
ataque o programa dispara na tela imediatamente informações sobre o atacante.
Figura 19 - Captura de Tela da Interface de Simulação do Programa Anti Hacker Ataque 1.2.
4. IDS (Intrusion Detection System)
IDS são sistemas que assim como os Honeypot s alertam quanto a possibilidade
de uma invasão por meio de escaneamento da rede em uma porta pré-selecionada, esta
porta pode ser por exemplo a porta eth0 (porta padrão das interfaces de rede principais)
ou mesmo uma porta wlan0 (porta padrão de conexão sem fio) onde respectivamente as
siglas em “eth” refere-se a interface de rede disponível, sendo esta a rede ethernet ou
as portas “wlan” portas para dispositivos de redes wireless, como adaptadores de rede
sem fio, ainda podem ser utilizadas outras portas referentes a outros dispositivos de rede
ou mesmo portas que simulam o funcionamento de uma eth onde esta pode ser uma
conexão com uma maquina virtual para a simulação dos ataques, onde pode ser criada a
simulação de um ambiente servidor por exemplo, sendo que assim simulando um
gateway uma maquina de serviços e o cliente que receberá o ataque onde a ferramenta
de intrusão relata ao usuário o tipo de invasão bem como a provável origem do ataque a
porta ao qual foi utilizada e o protocolo e horários da invasão.
As ferramentas de detecção de intrusão bem como os Honeypot s, não são
ferramentas criadas para a prevenção e correção de ataques como um firewall ou mesmo
um antivírus ao qual detecta trata e assegura-se de que o atacante não possa usufruir de
um serviço, as ferramentas de detecção de intrusão estão lá para alertar o gerente de
rede, em vários níveis da rede , podendo ser utilizadas antes ou depois da ação de um
firewall, para gerar relatórios de como o atacante se comporta em uma invasão.
Sabendo-se do comportamento do invasor a partir de análises nos logs ou
mesmo em alguns casos da análise em prompt ,o gerente de uma rede pode utilizar a
estratégia de segurança mais adequada para prevenção de um ataque real fora de um
ambiente controlado, isto ajuda a prevenir as ameaças antes mesmo que estas ocorram e
ajuda a moldar o perfil dos atacantes e dos clientes que sofrem o ataque, sendo utilizado
até mesmo na implementação de politicas de segurança.
Algumas ferramentas de detecção de intrusão podem ser vistas neste artigo e a
sua utilização ocorreu durante um curto intervalo de tempo, mas mesmo assim gerou
alguns resultados como a detecção de pequenos ataques ou mesmo do uso indevido de
algumas portas ou serviços, para o uso da ferramenta de detecção de intrusão, foi
utilizada a rede wireless da Universidade Federal de Santa Maria campus de Frederico
Westphalen – RS , onde estando em um ambiente controlado, com base no
comportamento geral das redes, acredita-se possuir um número menor de invasões por
possuir politicas de segurança implementadas e contar com firewall e ferramentas como
o squid para filtrar o conteúdo da rede, mesmo assim algumas formas de invasão na rede
wireless utilizada foram encontradas, visto que muitas delas de acordo com o log
partiram de utilizadores por meio de programas não autorizados vindos de outros
computadores conectados a esta rede, sendo ela uma rede de acesso livre aos estudantes.
As ferramentas utilizadas, são referenciadas nas seções 4.1, 4.2 e 4.3 deste
artigo, onde descreve-se também a forma de instalação das mesmas em uma ambiente
Linux comum, de forma a que mesmo usuários com pouca experiência em sistemas
Unix Based possam utilizar este serviço como fonte de informação.
4.1 Tripwire
O Tripwire pode ser instalado facilmente por meio do gerenciador de pacotes
Synaptic, como neste estudo, ou também em outros diversos gerenciadores de pacotes,
como por exemplo Aptitude ou mesmo por centrais de gerenciamento de programas das
novas distribuições Linux.
Para isto como no nosso estudo, abra o gerenciador de pacotes, como por
exemplo, o Synaptic, e digite o nome do pacote para pesquisar pelo mesmo de forma
rápida nos repositórios do sistema, como demonstrado na figura 20.
Figura 20 - Captura de Tela - Pesquisa pelo pacote Tripwire no gerenciador Synaptic
Após, o usuário deve marcar a opção de instalação do pacote o que o leva para
uma tela com o demonstrativo e a simula dos pacotes ao qual serão instalado no sistema,
juntamente com a necessidade de remoção, e, ou alteração de pacotes para que a IDS
funcione corretamente como pode ser visto na figura 21.
Figura 21 - Captura de Tela - Referencia de pacotes Alterados, removidos ou Instalados no sistema
Ao ponto em que o usuário seleciona a opção de instalação, inicia-se o pré-
download dos pacotes que serão checados pelo sistema para que se confirme a
autenticidade do programa instalado, auxiliando a que uma IDS maliciosa não seja
instalada e injetada na rede, esta técnica normalmente requer um checksum dos pacotes
onde por meio de algoritmos de criptografia, o sistema faz uma verificação em geral de
todos os bits comparando com o descritor (checksum) do pacote assim validando-o.
Após o download , conforme a figura 22 e a instalação, é feita a configuração do
Tripwire, para isto , sendo o sistemas de testes um sistema Debian-Based, utiliza-se o
debconf, onde o mesmo é inicializado automaticamente no termino da instalação por
meio do gerenciador de pacotes utilizado, assim adicionam-se as configurações de
utilização do Tripwire, como as senhas ou frases secretas que serão utilizadas pelo
mesmo, como pode ser visto em uma captura de tela demonstrada na figura 23.
Figura 22 - Captura de Tela - Download e Instalação dos pacotes
Figura 23 - Captura de Tela - debConf sendo executado.
Após a configuração ser apresentada , é exibida uma tela, onde nesta,
encontram-se os últimos detalhamentos da instalação como as mensagens de conclusão
e também o local de instalação de binários, e do banco de dados, tal qual caminho onde
os dados do arquivo leia-me com instruções de uso se encontram , em geral os locais
padrão de instalação utilizados são respectivamente os diretórios /usr/sbin ,
/var/lib/Tripwire , /usr/share/doc/Tripwire/README.
Para a inicialização do Tripwire, utliliza-se o comando Tripwire –m t –e
[email protected], onde o mesmo deve ser acionado por meio de um super-usuário do
sistema. Nos testes com variadas contas de e-mail, o mesmo gerou erro, como pode ser
visto na figura 24, onde são vistos dois dos e-mails testados e ambos não geram
resposta.
Figura 24 - Captura de Tela - Teste e execução do tripwire , falha ocorrida.
O Tripwire não apresentou sucesso nos testes , e o mesmo não pode ser utilizado
para um resultado efetivo por meio da debilidade de uma de seus principais
requerimentos, apesar de os testes em com o sistema, o origem do erro não foi detectada
, sendo que o mesmo pode também estar respondendo a erros de outros locais como
servidores de e-mail configurados para o mesmo.
4.2 OsSec
O IDS OsSec, não encontra-se disponível para download por meio de
gerenciadores de pacote do sistema, então para o mesmo é necessário o download na
página da empresa desenvolvedora do programa, seguindo se o link
http://www.OsSec.net/?page_id=19 onde por meio deste, encontra-se disponível o
download de um pacote compactado para o sistema com o instalador binário do
mesmo, sendo que o uso do instalador binário permite a utilização do mesmo pacote de
forma independente a distribuição utilizado, pois o pacote é compilado para sistema de
destino como e visto neste artigo nos parágrafos que tratam da instalação do IDS OsSec,
como pode ser visto na figura 25, além do item de download do pacote compactado
contendo os binários da instalação, conta-se também com o link com as instruções de
instalação do OsSec .
Figura 25 - Captura de Tela - Página de download do OsSec.
Na página de instalação, como pode ser visto na figura 26, encontram-se todos
os comandos para a instalação do OsSec, os comandos conforme os testes realizados,
demonstram-se precisos e forma bem aceitos na distribuição utilizada, não sendo
necessária a adaptação dos mesmos.
Figura 26 - Captura de Tela - Instruções de instalação do OsSec
Conforme os dados obtidos na página de instalação apresentada por meio do
fornecedor do IDS, em modo root, digita-se o comando wget juntamente com o http
para a aquisição do pacote, desta forma garantindo-se a versão atualizada do OsSec tal
qual a figura 27.
Figura 27 - Captura de Tela - Comando de obtenção do OsSec
Quando o comando é executado, obtém-se o pacote para a instalação, como visto
na figura 28 deste artigo seguindo-se da obtenção do checksum, como descrito na seção
4.1 sendo este necessário para a verificação da integridade dos pacotes recebidos, o
mesmo pode ser visto na figura 29 deste artigo que demonstra o comando e o resultado
gerado pelo mesmo.
Figura 28 - Captura de Tela - Aquisição do pacote principal do OsSec.
Figura 29 - Captura de Tela - Aquisição do checksum do aplicativo OsSec.
Após o recebimento dos arquivos de checksum e dos arquivos de instalação do
IDS, utiliza-se o comando “tar –zxvf OsSec-hIDS-*.tar.gz” para a descompactação do
pacote, o comando é interpretado de forma a que onde encontramos a palavra tar temos
o comando para a descompactação via terminal de um arquivo compactado nesta
extensão, após obtém-se os parâmetros da descompactação e o nome do arquivo a ser
descompactado, juntamente a sua extensão. Por meio do comando cd pode-se agora
listar o conteúdo do pacote descompactado que encontra-se em um diretório com o
nome do IDS. Assim que o utilizador o sistema se encontra localizado dentro do
diretório, utiliza-se o comando ./install.sh para executar a instalação do OsSec, sendo os
caracteres ponto e barra, representantes de uma ordem de execução de um arquivo e a
nominação install.sh como representantes respectivos do nome do arquivo de instalação
e a sua extensão, com a mesma extensão representando um arquivo binário que será
recompilado para a instalação no sistema. Durante a instalação, é requisitada a entrada
de dados de preferencias e configurações de uso do mesmo como a linguagem de
instalação do sistema, a mesma encontra-se normalmente na língua inglesa, a sendo
necessária à especificação da linguagem conforme o local, sendo o nosso local então
Brasil, utiliza-se a sigla br, como pode ser visto na figura 30.
Figura 30 - Captura de Tela - Configuração do OsSec.
A definição de um local padrão para a linguagem é bastante importante, pois
podemos assim facilitar o trabalho de translado e o trabalho de codificação de caracteres
especiais de linguagem.
Conforme a figura 31, podemos ver que para a instalação do mesmo temos de
atender a dependência de um compilador de linguagem de programação C, o sistema
utiliza-se do usuário atual em login no terminal, para obter as credenciais, sendo este
para que não haja maiores interferências o usuário root, e o host é definido com o
proprietário do sistema. Ainda como pode ser visto na figura, o primeiro passo é a
definição de um modo de instalação, para os testes é utilizado o servidor local que
possui tanto funções de servidor tanto funções de cliente, onde ainda pode-se recorrer ao
comando de ajuda para a obtenção de maiores detalhes sobrea instalação dentro destes
modos.
Figura 31 - Captura de Tela - Primeiros passos da configuração do aplicativo OsSec.
Tal qual pode ser visto na figura 32, o sistema necessita da entrada de um local
de instalação e também de parâmetros de configuração, tais qual o parâmetro de
notificações por e-mail, verificação de integridade e também a detecção de rootkits,
contendo arquivos maliciosos, respectivamente as opões de verificação de integridade e
detecção de rootkits, são extremamente importantes para a detecção integral de
arquivos maliciosos em todo o potencial de detecção que a ferramenta apresenta.
As respostas automáticas, tornam-se bastante uteis pois o IDS pode resolver alguns
transtornos gerados.
Figura 32 - Captura de Tela - Configurações gerais do OsSec.
Após mais alguns pedidos como o de habilitação de firewall, o sistema pede
então o pressionamento de uma tecla para que seja finalizada a instalação do mesmo,
após a tecla ser pressionada, então utiliza-se como na figura 33, o comando OsSec-
control start, para que o IDS seja executado, o mesmo pode ser executado utilizando-se
os caracteres ponto e barra, em caso o usuário encontrar-se no diretório ao qual o OsSec
está instalado, caso o mesmo não se encontre neste diretório, o mesmo é acessado de
qualquer diretório do sistema em modo terminal utilizando-se a localização definida na
instalação, por padrão sendo esta o caminho /var/OsSec/bin/OsSec-control start.
Para a parada do sistema, utiliza-se o comando stop para que assim o sistema
deixe de ser executado.
Figura 33 - Captura de Tela - Execução do OsSec.
Apesar da instalação do OsSec não contar com o gerenciador de pacotes para
que ela aconteça, ela corre de maneira bastante usual, e o sistema informa o usuário de
todas as dependências que devem ser atendidas para o bom funcionamento, tal como as
configurações necessárias para que o mesmo funcione de acordo com as necessidades
do utilizador, a detecção ocorre em tempo de uso e o administrador pode tomar as
medidas necessárias, contando com o envio de estatísticas por e-mail, onde assim
podem ser acessadas remotamente ou mesmo podem ser tomadas medias posteriores de
segurança, durante os testes com o IDS, foi observado que o mesmo após a queda de
uma interface de rede, em nosso caso sendo uma interface wlan o mesmo não apresenta
reinicio automático do sistema, podendo prejudicar a detecção em caso de uma falha
breve de uma das interface de rede por variados motivos.
4.3 Snort
Para a instalação de forma facilitada do Snort, utiliza-se o gerenciador de
pacotes, o software também é disposto on-line para o download separadamente, e conta
com versionamento multiplataforma. Para este estudo a análise do comportamento do
IDS Snort ocorre em ambiente Linux, visto que o mesmo também é utilizado para os
testes do Tripwire e OsSec, sendo que o ambiente Linux, dispões de maior número de
ferramentas para o tratamento e detecção de erros dentro dos mesmos, ainda
apresentando configurações e comandos de rede avançados, tal qual , o mesmo sendo
utilizado em grande parte de servidores.
No gerenciador de pacotes, preenche-se o campo de pesquisa de pacotes, com o
nome do IDS desejado, em nosso estudo o Snort, após são listadas as ferramentas
relacionadas ao mesmo bem como o pacote desejado, como pode ser visto na figura
34.
Figura 34 - Captura de Tela - Synaptic , seleção do pacote Snort e marcação de suas dependências de forma automatizada por meio do gerenciador de pacotes.
A partir da seleção da IDS Snort, o gerenciador de pacotes marca de forma
automatizada os pacotes que deverão ser instalados para atender as dependências de
funcionamento do IDS.
Após o download dos arquivos, o gerenciador de pacotes ,prossegue para a
configuração do IDS Snort, onde como pode ser visto na figura 35, o usuário deve entrar
com o ip de configuração da IDS para a realização dos testes, o mesmo pode ser
alterado sendo que assim podemos redirecionar os testes para qualquer ip ao qual se
está utilizando, como o ip da rede wireless ou o ip da rede ethernet , ainda podendo ser
redirecionaod ao ip de rede de maquinas virtuais ou muitos outros tipos de conexões
para que estas sejam monitoradas.
Figura 35 - Captura de Tela - Execução do debconf, para a configuração dos Snort.
Após a configuração, pode-se também instalar os pacotes com a documentação
para solucionar duvidas referentes ao funcionamento do IDS e o conversor de regras
para iptables, como pode ser visto na figura 36, onde também é demonstrado o processo
de atualização dos pacotes necessários sem grandes influencias do usuário, para que o
processo ocorra de maneira segura e estável, sem que a dependência de algum pacote
possa interferir em testes.
Figura 36 - Captura de Tela - Synaptic, seleção da documentação e programa de conversão de regras do iptables , bem como listagem das alterações aplicadas.
Após a conclusão da instalação, pode-se então por meio do terminal do sistema,
utilizando-se do usuário root para o processo, iniciar o Snort, por meio do comando
“Snort –i wlan0 –v –l /home/usuário/local” onde no parâmetro Snort chamamos a IDS e
com a passagem do parâmetro –i indica-se a interface que deve ser monitorada, para os
testes fora utilizada a interface wlan0 sendo a mesma correspondente a rede sem fio, o
parâmetro –v para que por meio do terminal seja demonstrado a ação atual de
monitoramento ao qual está ocorrendo, e o paramentro –l onde por meio deste
especifica-se o local ao qual o log com os dados coletados durante o monitoramento por
meio da IDS Snort são salvos, o local é definido por meio de um diretório já existente
no sistema, sendo que para utilizar um diretório especifico deve criar-se o diretório
antes da especificação do caminho deste , devido a que a IDS não apresenta a
funcionalidade de criação de diretórios no sistema se os mesmos ainda não existirem;
este processo pode ser visto na figura 37.
Figura 37 - Captura de Tela - Snort em execução e comando para a sua inicialização.
O Snort além de apresentar funcionalidades em multiplataforma, apresenta-se
como uma forma bastante amistosa de IDS, a sua instalação ocorre de maneira rápida e
bastante prática as configurações também podem ser feitas sem muita dificuldade por
usuários de nível intermediário do sistema. A detecção apresenta-se de forma rápida e
pratica, e os logs podem ser lidos por meio de ferramentas simples de edição de texto,
sendo os arquivos protegidos por meio da segurança implementada no próprio ambiente
Linux, com a utilização do usuário root, pois os usuários sem privilégios não podem ler
o arquivo de forma a garantir o limite de acesso de informações ao administrador para
que ele tome as providencias necessárias e implemente as politicas de segurança
recomendadas segundo o tipo e modelo de invasão detectadas pelo IDS.
CONCLUSÃO
Durante a produção deste estudo podemos ver que o Honeypot não é apenas uma
ferramenta comum de detecção de invasores, os Honeypot s são ferramentas complexas
que com o objetivo de atrair o atacante para uma rede, acabam por capturar grande parte
de informações valiosas sobre os tipos de ataques para que se possa aprender e aplicar
novas políticas de segurança e prevenção de ataques, assim a segurança de uma rede
tende a adiantar-se ao atacante minimizando ou anulando os prejuízos de um eventual
ataque.
As IDS podem ser utilizadas em vários níveis da rede, protegidas ou não por um
firewall, podendo comprovar se o mesmo apresenta a eficiência necessária e também
que alvo os atacantes procuram atingir antes mesmo de uma barreira como o firewall.
As IDS auxiliam a não repetição de erros e assim como os Honeypot s, são
ferramentas cruciais para que o administrador de uma rede ou sistema se adiante ao
ataque e que o atacante não possa usufrui dos dados que o mesmo busca, nem todos os
ataques podem ser evitados, então prever os mesmos pode garantir a implementação de
politicas como o uso de criptografia de dados para que mesmo que interceptados os
mesmos não possamser decifrados por um atacante, a minimização dos prejuízos com a
pré-detecção de um ataque ou não repetição do mesmo, são uma maneira de ajustar os
custos com segurança e obtenção da eficiência máxima possível para minimizar os
danos causados e evitar que os mesmos aconteçam.
BIBLIOGRAFIA
[1] Thomas, Tom – Segurança de Redes – Primeiros Passos – Ciência
moderna.
[2] Augusto Pedro - Introdução aos Honeypot s
Disponível em: http://www.dicas-l.com.br/arquivo/introducao_aos_Honeypot s.php.
[3] Tissato Nakamura Emilio, Lício de Geus Paulo – Segurança de Redes – em
ambientes cooperativos – Novatec.
[4] Ferreira, Rubem E. - Linux - Guia do Administrador do Sistema. – 2ª
Edição, Novatec Editora, 2008
[5] Franciscatto, Roberto – Segurança na web, capítulo 7: IDS e Honeypots
Disponível em :
http://www.cafw.ufsm.br/~roberto/wp-content/uploads/2011/05/capitulo_7_IDS.pdf ,
acesso em : 06/09/2012
Top Related